Jämförda versioner

Gammal version 105

changes.mady.by.user Björn Skeppner

Sparat den

jämfört med

Ny version 106

changes.mady.by.user Björn Skeppner

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

Ett Klartextmeddelande får ej innehålla Känsliga personuppgifter eller Personliga förhållanden. Verksamheten ska alltid göra en riskbedömning om vilken text som kan skickas. 


7.1       Meddelande med känsliga uppgifter

Det förhållande att viss person är en patient, anses vara känsliga uppgifter.

Inom Hälso- och sjukvården får en vårdgivare efter att ha gjort en behovs- och riskanalys besluta om undantag från kraven i socialstyrelsens föreskrift HSLF-FS 2016:40 vid överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter eller av patienten angiven kontaktperson. Vid behovs- och riskanalys kan uppgift om verksamhet bedömas vara en uppgift som inte bör skickas via e-post eller sms - och inte heller till kontaktpersoner. Detta måste respektive verksamhet bedöma. Meddelande som innehåller känsliga personuppgifter får endast lämnas ut till en plats där åtkomsten till meddelandet ska ske genom stark autentisering, (ex 1177 Inkorg, Kivra, Min myndighetspost, Digimail etc) av den person som är mottagare av meddelandet. Verksamheten måste således vara ansluten till någon/några av de tjänster som erbjuder säker meddelandehantering. Verksamheten kan sen avisera (meddela) personen via någon av de kontaktuppgifter som hen har angivet att det finns ett meddelande i meddelandetjänsten. Dessa meddelanden (aviseringar) kan skickas som klartext till någon av de kontaktuppgifterna som personen har angivet. Exempelvis : ”Du har fått ett meddelande i din inkorg hos <meddelandetjänst> från <verksamhet>


7.2       Meddelande med ej känsliga uppgifter

Vid användning av meddelande med ej känsliga personuppgifter ska verksamheten göra en behovs- och riskanalys för att ta ställning till vilka typer av ej känsliga personuppgifter som lämpar sig att hantera som meddelande i klartext till personen. Respektive verksamhetschef har således ansvaret att besluta om möjligheten att skicka meddelande i klartext via de aviseringsvägar som verksamheten avser att stödja.Det innebär att verksamheten behöver ha rutiner för att rimligt säkerställa att telefonnummer  och e-postadress är korrekta och aktuella och att meddelandet ej avslöjar detaljer om en persons hälsotillstånd eller andra personliga förhållanden. Exempelvis: "Hej <namn>. Din bygglovsansökan i <kommun> kommun är nu hanterad. Beslutet finns i Dina Meddelanden på <kommunen> kommuns hemsida"

7.3        Meddelandehantering till kontaktpersoner

En person kan även ange en kontaktpersons kontaktuppgifter som aviseringsväg. till exempel en Vårdnadshavare eller en Närstående.Meddelande till en kontaktperson kan normalt i de flesta fallen bara bestå av ett Klartextmeddelande (se Termer och begrepp). Om verksamheten vill kunna skicka ett meddelande till en kontaktpersons Meddelandetjänst (1177 Vårdguiden, Kivra etc) så behöver verksamheten i så fall ha uppgifter om fullständiga personuppgifter (PNR) på kontaktpersonen och uppgifter om vilken Meddelandetjänst kontaktpersonen har valt för att kunna mottaga meddelande. Meddelande i klartext till kontaktpersoner får inte innehålla Känsliga personuppgifter.

7.3.1       Meddelande till barn/vårdnadshavare

Barn har rätt till integritet och sekretess, även i förhållande till sina vårdnadshavare när det kan antas att barnet kan lida betydande skada om uppgifter röjs för vårdnadshavaren. Det finns således fall då vårdnadshavare - oavsett barnets ålder - inte ska anges som kontaktperson. Det kan exempelvis gälla fall då barnet omhändertas med stöd av lag om vård av unga, LVU.I dessa fall kan vårdgivaren också blockera vårdnadshavarens direktåtkomst till Journal via nätet.Huvudregeln är dock att vårdnadshavare företräder sina barn enligt föräldrabalken. Det framgår av skatteverkets folkbokföringsuppgifter vem som är vårdnadshavare. Uppgift om vårdnadshavare är en "färskvara", dvs den ska kontrolleras löpande. Det är inte självklart att en förälder är vårdnadshavare. En förälder som inte är vårdnadshavare jämställs med tredje person, som inte företräder barnet enligt föräldrabalken. Upp till 13 års ålder kan således vårdnadshavaren anges som kontaktperson - men  - i takt med stigande ålder och mognad ska barnets inställning väga allt tyngre. Vid femton års ålder anses ett barn normalt vara tillräckligt mogna för att själva bestämma i frågor som rör integritet och sekretess, men i vissa fall kan mognaden bedömas vara tillräcklig redan vid 13 års ålder. Verksamheten ska göra en mognadsbedömning och fråga om barnets inställning till angivande av kontaktperson. Barnet kan efter mognadsbedömning välja att ange en annan person, än vårdnadshavaren, som kontaktperson. Kunskapsstöd vid mognadsbedömning finns på socialstyrelsens webbsida.   Vid utskick av Meddelande till en vårdnadshavare så ska aviseringsväg sökas hos vårdnadshavarens kontaktuppgifter, ej via barnets kontaktuppgifter/kontaktpersoner. Detta för att säkerställa barnets integritet, enligt ovan. Vem/vilka som är vårdnadshavare till barnet framgår av skatteverkets folkbokföringsuppgifter och erhålls från PU-tjänsten. Rutinen för utskick av Meddelande till barn under 13 år ska normalt således vara att via PU-tjänsten erhålla kontaktuppgifter till vårdnadshavaren, ej genom barnets eventuella kontaktuppgifter eller kontaktpersoner.Då barnet har fyllt 16år så är det rimligt att Meddelande kan skickas till barnet baserat på barnets kontaktuppgifter. Exempel på ett meddelande (avisering) till en vårdnadshavare: "Hej. Det barn som du är vårdnadshavare för har fått en kallelse till provtagning. Logga in på 1177 Vårdguiden och läs mer i ditt barns Inkorg"

Exempel på meddelande i klartext: "Hej! Här kommer en påminnelse för ett återbesök den <datum> <tid> för ditt barn som du är vårdnadshavare för."

7.3.2       Meddelande till God man/Förvaltare

God man för ensamkommande barn likställs med vårdnadshavare. I övriga fall är god man ett stöd för sin huvudman och ska utföra sitt uppdrag i samråd med sin huvudman. En förvaltare har en starkare ställning och beslutar utan samtycke av huvudmannen. Gode män och förvaltare kan ha begränsade uppdrag, gällande t ex bara ekonomisk förvaltning, eller att "sörja för personen". Omfattningen av deras uppdrag framgår av beslut om god man/förvaltare. Uttrycket "att sörja för person" innebär att personen har uppdraget att se till att huvudmannen får vård och omsorg. Vid angivande av gode män eller förvaltare som kontaktpersoner är det av vikt att utreda huvudmannens möjlighet att avge ett samtycke. Om personen kan samtycka, ska huvudmannens inställning till angivande av kontaktperson utredas. Det är viktigt att respektera människors rätt till integritet och sekretess och att individanpassa språket och informationen samt att använda tolk i förekommande fall.

7.3.3       Meddelande till övriga typer av kontaktpersoner

Oavsett om en kontaktperson är en Anhörig eller Närstående så har den normalt sett ingen automatisk juridisk rätt att företräda en person. Vuxna barn har heller ingen legal ställning i förhållande till sina föräldrar. Det har inte heller partners som är gifta eller sambo, i förhållande till sina partners. De kan vara att betrakta som närstående - förutsatt att patienten själv anser sig ha en nära relation med personerna ifråga.  Att skicka ett Meddelande till en kontaktperson bör således ske med stor varsamhet och risken att kränka personens integritet bör prövas separat vid varje enskilt tillfälle.

7.4       SMS

Verksamheten ska fastställa rutiner för SMS-användning inom verksamheten. Inom hälso-och sjukvården får SMS endast användas för påminnelser och kallelser. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar.Genom att t.ex inom Hälso- och sjukvården inte i klartext nämna vilken typ av vårdbesök och hos vilken specifika vårdenhet som avses i en påminnelse eller kallelse, minskas risken för att integriteten kränks om meddelandet skulle läsas av fel mottagare.Ett meddelande av typen påminnelse från en vårdgivare kan lämpligen utformas enligt exempel:

...

Ett sms-meddelande bör avslutas med följande text: "Har du fått detta sms utan att ha varit i kontakt med oss, ring xxxxxxx", där xxxxxxx lämpligen går till en lämplig supportfunktion.

7.5     e-post

Verksamheten ska fastställa rutiner för e-post-användning inom verksamheten. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar.Samma regler gäller för e-post såsom för sms.

8       Hantering felaktiga kontaktuppgifter

Det finns en risk för att kontaktuppgifterna ej längre är aktuella eller har blivit felaktigt inmatade. Detta måste kunna hanteras av verksamheten. Följande principer gäller:


AnvändningsfallÅtgärd
Att skicka ett meddelande med e-post resulterar att e-postadressen ej är kändVerksamheten bör försöka kontakta personen och be den att kontrollera och justera sina kontaktuppgifter. 
Att skicka ett meddelande med e-post resulterar i ett övrigt felmeddelande (kan vara flera olika typer)Verksamheten bör ha rutiner för att kunna hantera dessa fel.
Att skicka ett meddelande med sms resulterar i en leveransrapport som anger att numret är felaktigt eller saknasVerksamheten bör försöka kontakta personen och be den att kontrollera och justera sina kontaktuppgifter. 
Att skicka ett meddelande med sms resulterar i en felaktig leveransrapportVerksamheten bör ha rutiner för att kunna hantera dessa fel.
En person kontaktar verksamheten och meddelar att den har fått ett meddelande (e-post/sms) som den ej har förväntat sigVerksamhetens rutiner behöver beskriva hur de hanterar ett sådant ärende. I dessa rutiner ska det framgå hur de hanterar ärendet för att rätta de felaktiga kontaktuppgifterna, t.ex genom att radera dem.



9       Krav på information till

personenFör

personen

För de e-Tjänster som möjliggör för personen att komplettera sina uppgifter i PU-tjänsten så är det mycket viktigt att personen förstår sitt ansvar att de uppgifter som personen anger ska vara korrekta och aktuella. Dessa e-Tjänsterna bör regelbundet (minst 1ggn/år) påminna personen vikten av att hålla sina kontaktuppgifter aktuella.e-Tjänsterna som tillhandahåller detta stöd skall tydligt vid de olika användningsfallen upplysa personen vad som gäller.


AnvändningsfallNödvändig information att upplysa personen om
Skriva in/uppdatera kontaktuppgifterAtt det är av stor vikt att informationen är korrekt och aktuell. Att personen har ett ansvar att uppgifterna hålls uppdaterade.
Ange vilken/vilka kontaktuppgifter som får användas för att skicka meddelande till
  • Att dessa uppgifter kan komma att användas av en verksamhet/myndighet för att skicka meddelande till personen. 
  • Att de endast får användas från de verksamheter/myndigheter som personen har en relation till. T.ex en bokning, vårdärende, bygglovsärende etc.
  • Att personen därmed samtycker till detta. 
  • Att meddelandena bara är av arten "Ej känslig information", t.ex ge exempel på klartextmeddelanden som personen kan komma att få.
  • Att upplysa personen om att känsliga meddelanden skickas till den meddelandetjänst som personen är ansluten till (ex 1177, Kivra etc)
Ange kontaktpersoner
  • Att möjligheten att kunna ange kontaktperson(er) är främst till för en "direkt personlig kontakt" från verksamheten. T.ex att inom vården kunna ha kontaktuppgifter till en närstående, en person som verksamheten kan kontakta då behov finns.
Ange kontaktpersoners kontaktuppgifter som får användas för att skicka meddelande till.
  • Se "Ange vilken/vilka kontaktuppgifter som får användas för att skicka meddelande till" ovan
  • Att detta ska ses som ett undantag, att personen verkligen förstår vad detta innebär
  • Att endast meddelande med icke känslig information normalt kan skickas till en kontaktperson



10       Referenser
[1]”Informationsspec PU-tjänsten,” [Online]. Available: http://rivta.se/domains/domain-strategicresourcemanagement_persons_person.html.
[2]T. PU-tjänsten, ”PU-tjänsten, Tjänstekontraktsbeskrivning,” [Online]. Available: http://rivta.se/domains/domain-strategicresourcemanagement_persons_person.html.
[3]”PU-tjänsten, avtal,” [Online]. Available: https://www.inera.se/kundservice/avtal/avtalsdokument/.
[4]”Användarhandbok PU-tjänsten,” [Online]. Available: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=170566602&src=contextnavpagetreemode.
5https://skatteverket.se/foretagochorganisationer/myndigheter/informationsutbytemellanmyndigheter/navethamtauppgifteromfolkbokforing.4.18e1b10334ebe8bc80001754.html?q=navet
6https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/
7Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)